Diskussion:Challenge-Response-Authentifizierung
"Das Challenge-Response-Verfahren ist ein sicheres Authentifizierungsverfahren"
Seit wann kann ein Authentifizierungsverfahren sicher sein?! --FreeFred 15:51, 13. Aug 2006 (CEST)
Werbe-Weblink entfernt
[Quelltext bearbeiten]Das habe ich mal hierher verschoben. Fischer.sebastian blubb 19:34, 20. Dez. 2007 (CET)
== Weblinks == * [http://de.trashmail.net/ TrashMail.net - Weiterleiten von E-Mails mit Herausforderung-Antwort-Verfahren]
Challenge-Response-Verfahren
[Quelltext bearbeiten]-- Auszug: Hierfür gibt es in Abhängigkeit von dem verwendeten Verschlüsselungsverfahren (symmetrisch oder asymmetrisch) im Detail unterschiedliche Methoden, die aber auf demselben Grundprinzip beruhen.
Das ist leider grober Unfug! Die nachfolgend nochmals in Klammer eingefügte beschriebene Methode ist GENAU EINE Art wie man das Problem löst, aber nicht das Grundprinzip. Das Grundprinzip ist Frage / Antwort.
- Der Antwortraum auf eine Frage sollte möglichst groß sein.
- WENN das Prinzip gut ist kann ein Angreifer aus dem Zusammenfügen von Frage und Antwort NICHT auf nachfolgende Antworten auf nachfolgende Fragen schließen.
- WENN das Prizip sehr gut ist kann der Angreifer nicht einmal die Frage verstehen.
Der derzeitige Artikel beschreibt nur wie MANCHE das Problem gelöst oder implementiert haben. => Unfug und unbrauchbar.
-- (Wenn sich eine Seite (in der Kryptographie meist als Alice benannt) gegenüber einer anderen, zweiten Seite (meist Bob genannt) authentisieren möchte, so sendet Bob eine Zufallszahl N (Nonce) an Alice (Bob stellt also die Challenge). Alice verschlüsselt diese Zahl N mit ihrem Passwort und sendet das Ergebnis an Bob zurück (und liefert somit die Response). Dieser hat inzwischen dieselbe Zufallszahl mit dem ihm zu Alice bekannten Passwort verschlüsselt und vergleicht nun das Ergebnis dieser Verschlüsselung mit der Response, die er von Alice erhält. Sind beide verschlüsselten Nachrichten identisch, so hat sich Alice erfolgreich authentisiert. Wichtig hierbei ist, dass der Inhalt von Alices Nachricht in der Regel nicht entschlüsselt wird; es findet lediglich ein Gleichheitstest statt.) --(nicht signierter Beitrag von 83.65.61.34 (Diskussion) 14:37, 16. Dez. 2008 (CET))
Passwort?
[Quelltext bearbeiten]"Ein sehr einfaches Beispiel ist die Frage nach einem Passwort. Dabei ist die Herausforderung die Frage nach dem Passwort, und die korrekte Antwort ist das richtige Passwort."
Das erscheint mir absurd; passt dazu, dass der Artikel keine Quellen hat. "Sag mir Dein Passwort" wäre ja immer dieselbe "Frage". Es gäbe im Grunde kein Verfahren, das nicht irgendwie CRAM wäre. Der Begriff wäre sinnlos. Insbesondere hätte das ja zur Folge, dass z.B. ein zweistufiger Zugriff auf eine zugangsgeschützte Webseite – erster Zugriff ohne Zugangsdaten, dann die Anforderung von Zugangsdaten durch den Webserver, dann zweiter Zugriff mit Zugangsdaten – ein CRAM-Verfahren wäre, derselbe Zugriff, der schon im ersten Anlauf die Zugangsdaten mitschickt, aber nicht.
Ich werde mich darum demnächst mal kümmern.--Hauke Laging (Diskussion) 18:08, 18. Aug. 2012 (CEST)
Im Artikel gibt es grundlegende Fehler
[Quelltext bearbeiten]Eine Challenge-Response-Authentifizierung macht genau das, was der Name aussagt.
Die eine Seite stelle eine Frage (challenge), die andere Seite gibt eine Antwort (response). Wenn die Antwort richtig ist, dann ist die Authentifizierung erfolgreich.
Die einfachste Art einer Challenge-Response-Authentifizierung ist die ganz normele Passworteingabe, aber es gibt noch weitere Arten.
Im Artikel steht: "dass er eine bestimmte Information (Shared Secret) kennt", aber es muss nicht zwangsläufig ein Shared Secret sein. Es kann auch ein Public/Private-Key-Pair sein oder ien Zero-Knowledge-Proof.
Desweiteren steht im Artikel "ohne diese Information selber zu übertragen". Das ist auch nicht korrekt, denn bei einer ganz normalen Passworteingabe wird das Passwort (das Geheimnis) übertragen.
"Dies ist ein Schutz dagegen, dass das Passwort von Angreifern auf der Leitung mitgehört werden kann." Das ist auch falsch. Hier wird Zero-Knowledge mit Challenge-Response verwechselt. (nicht signierter Beitrag von 88.69.185.47 (Diskussion) 15:01, 28. Jan. 2021 (CET))